Vulnerabilidad en XMLHTTP de Internet Explorer 6

l problema se debe a que las entradas enviadas como parámetros en la función "open()" del objeto ActiveX "Microsoft.XMLHTTP", no son debidamente filtradas. El objeto XMLHTTP es utilizado normalmente para establecer una comunicación con un servidor HTTP, enviar pedidos y procesar los resultados, según informa Vsantivirus.

La debilidad reportada, podría ser explotada para inyectar una solicitud HTTP no permitida, por medio de una entrada modificada de tal modo que contenga caracteres como "tab" y "newline".

De todos modos una explotación exitosa requiere que la solicitud HTTP sea enviada a un servidor (o a través de un proxy), que permita caracteres tab en lugar de espacios en ciertas partes de la solicitud realizada.

El impacto de esta vulnerabilidad, está en que la misma podría permitir eludir restricciones de seguridad, realizar spoofing (ocultar el verdadero origen de una solicitud), manipular datos, o acceder a un sistema de forma remota.

El problema es similar a otro detectado anteriormente en Firefox (solucionado en Firefox 1.0.7).

La vulnerabilidad ha sido confirmada en un sistema en Internet Explorer 6.0 y Microsoft Windows XP SP2, con todas las actualizaciones al día. Otras versiones también podrían ser afectadas.